A millones de estadounidenses les robaron su información médica y de salud confidencial después de que los piratas informáticos aprovecharon una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit, ampliamente utilizado, y asaltaron los sistemas operados por el gigante tecnológico IBM.

El Departamento de Políticas y Financiamiento de Atención Médica de Colorado (HCPF), que es responsable de administrar el programa Medicaid de Colorado, confirmó el viernes que había sido víctima de los hackeos masivos de MOVEit, exponiendo los datos de más de 4 millones de pacientes.

En una notificación de violación de datos a los afectados, HCPF de Colorado dijo que los datos se vieron comprometidos porque IBM, uno de los proveedores del estado, «usa la aplicación MOVEit para mover archivos de datos de HCPF en el curso normal de los negocios».

La carta establece que, si bien ningún sistema de HCPF o del gobierno del estado de Colorado se vio afectado por este problema, «el actor no autorizado accedió a ciertos archivos HCPF en la aplicación MOVEit utilizada por IBM».

Estos archivos incluyen los nombres completos de los pacientes, fechas de nacimiento, domicilios particulares, números de Seguro Social, números de identificación de Medicaid y Medicare, información de ingresos, datos clínicos y médicos (incluidos resultados de laboratorio y medicamentos) e información del seguro médico.

HCPF dice que alrededor de 4,1 millones de personas están afectadas.

IBM aún tiene que confirmar públicamente que se vio afectada por los hackeos masivos de MOVEit, y un portavoz de IBM no respondió a una solicitud de comentarios de TechCrunch.

La violación de los sistemas MOVEit de IBM también afectó al Departamento de Servicios Sociales (DSS) de Missouri, aunque aún se desconoce el número de personas afectadas. Más de 6 millones de personas viven en el estado de Missouri.

En una notificación de violación de datos publicada la semana pasada, el DSS de Missouri dijo: “IBM es un proveedor que brinda servicios al DSS, la agencia estatal que brinda servicios de Medicaid a los residentes de Missouri elegibles. La vulnerabilidad de los datos no afectó directamente a ningún sistema DSS, pero sí a los datos pertenecientes a DSS”.

El DSS dice que los datos a los que se accede pueden incluir el nombre de una persona, el número de cliente del departamento, la fecha de nacimiento, el estado o cobertura de elegibilidad de beneficios posibles e información de reclamaciones médicas.

Ni el HCPF de Colorado ni el DSS de Missouri se han incluido en el sitio de filtraciones de la web oscura de la banda de ransomware Clop, que se ha adjudicado la responsabilidad de los ataques masivos. En un mensaje en el sitio, el grupo vinculado a Rusia afirma: “No tenemos ningún dato del gobierno”.

La noticia de la última brecha de seguridad de Colorado se produce pocos días después de que el Departamento de Educación Superior de Colorado dijera que había experimentado un incidente de ransomware en el que los piratas informáticos accedieron y copiaron datos de 16 años de sus sistemas. La Universidad Estatal de Colorado también confirmó el mes pasado que había sufrido una filtración de datos relacionada con MOVEit que afectó a decenas de miles de estudiantes y personal académico.

Mientras tanto, PH Tech, una empresa que brinda servicios de administración de datos a las aseguradoras de atención médica de EE. UU., confirmó que también se vio afectada por los ataques de MOVEit, que afectaron la información de salud de 1,7 millones de residentes de Oregón.

La filtración más grande de un proveedor de atención médica de EE. UU. en lo que va del año fue para HCA Healthcare, que involucró los nombres, direcciones y detalles de citas de 11,2 millones de personas en un lapso de seguridad no relacionado con MOVEit.

Lo único más aterrador que el sistema de salud privatizado de Estados Unidos es que el sistema de salud privatizado de Estados Unidos está siendo pirateado. Bueno, tengo malas noticias: Lake Charles Memorial Health System en Luisiana ha sido objeto de un ataque de ransomware que podría afectar cientos de miles de pacientes.

El Sistema de Salud Lake Charles Memorial es un red hospitalaria ubicada en el sur de Luisiana que alberga seis instalaciones médicas con más de 400 camas para brindar atención a los residentes del estado. El sistema hospitalario anunció recientemente que fue objeto de un ataque de ransomware en octubre pasado y ha comenzado el proceso de notificación a los involucrados: una violación Informe del Departamento de Salud y Servicios Humanos de EE. UU. estima que 269.752 personas se vieron afectadas.

“El 21 de octubre de 2022, el equipo de seguridad de la información de LCMHS detectó una actividad inusual que involucraba nuestra red informática. Tomamos medidas inmediatas para contener la actividad e investigar su causa. El 25 de octubre de 2022, supimos que un tercero no autorizado obtuvo acceso a nuestra red”, escribió el sistema hospitalario en un comunicado. comunicado publicado el su sitio web. “La investigación determinó que el acceso no autorizado a nuestra red informática ocurrió entre el 20 y el 21 de octubre de 2022, tiempo durante el cual el tercero no autorizado accedió u obtuvo ciertos archivos de nuestros sistemas”.

LCMHS sugiere que algunos de los datos que se pueden haber obtenido incluyen nombres de pacientes, direcciones, fechas de nacimiento, registros médicos/números de identificación del paciente, información del seguro médico, información de pago e información sobre la atención del paciente en el sistema. En algunos casos, los números de Seguro Social también fueron robados.

De acuerdo a computadora pitido, un grupo de piratas informáticos conocido como Hive supuestamente incluyó a LCMHS como objetivo en el sitio web del grupo en noviembre de 2022 mientras afirmaba que el ataque tuvo lugar el 25 de octubre, no el 21 de octubre como afirmaba el hospital. Hive no es ajeno al ransomware, ya que TechCrunch informó el mes pasado que el grupo ha extorsionado casi 100 millones de dólares a 1300 víctimas desde que se observó por primera vez en acción en junio de 2021.